Вы находитесь на странице: 1из 72

……………………………………………………………………………………………………………………………

Организационно-правовое обеспечение ИБ
……………………………………………………………………………………………………………………………

Исаев Александр Сергеевич, к.т.н, доцент ФБИТ


Основная законодательная база РФ в области ИБ
Конституция РФ

2
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"

3
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"
149-ФЗ "О персональных данных"

4
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"
149-ФЗ "О персональных данных"
126-ФЗ "О связи"

5
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"
149-ФЗ "О персональных данных"
126-ФЗ "О связи"
63-ФЗ "Об электронной подписи"

6
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"
149-ФЗ "О персональных данных"
126-ФЗ "О связи"
63-ФЗ "Об электронной подписи"
187-ФЗ "О безопасности
критической информационной инфраструктуры
Российской Федерации"

7
Основная законодательная база РФ в области ИБ
Конституция РФ
149-ФЗ "Об информации, информационных технологиях и
о защите информации"
149-ФЗ "О персональных данных"
126-ФЗ "О связи"
63-ФЗ "Об электронной подписи"
187-ФЗ "О безопасности
критической информационной инфраструктуры
Российской Федерации"

98-ФЗ "О коммерческой тайне"

8
Подзаконные акты
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»

9
Подзаконные акты
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»
ПП РФ № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»

10
Подзаконные акты
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»
ПП РФ № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»

ПП РФ № 1119 «Об утверждении требований к защите персональных данных при их


обработке в информационных системах персональных данных»

11
Подзаконные акты
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»
ПП РФ № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»

ПП РФ № 1119 «Об утверждении требований к защите персональных данных при их


обработке в информационных системах персональных данных»

Приказ ФСТЭК\ФСБ № 416/489 «Об утверждении Требований о защите информации,


содержащейся в информационных системах общего пользования»

12
Подзаконные акты
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»
ПП РФ № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»

ПП РФ № 1119 «Об утверждении требований к защите персональных данных при их


обработке в информационных системах персональных данных»

Приказ ФСТЭК\ФСБ № 416/489 «Об утверждении Требований о защите информации,


содержащейся в информационных системах общего пользования»

Приказ ФСТЭК № 21 «Об утверждении состава и содержания организационных и


технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных»

13
Подзаконные акты
Приказ ФСТЭК № 17 «Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах»

14
Подзаконные акты
Приказ ФСТЭК № 17 «Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах»

Приказ ФСБ № 378 «Об утверждении состава и содержания организационных и


технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищённости»

15
Подзаконные акты
Приказ ФСТЭК № 17 «Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах»

Приказ ФСБ № 378 «Об утверждении состава и содержания организационных и


технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищённости»

Это всё…???

16
Иные нормативные документы

На самом деле
нет! Это лишь
верхушка айсберга

17
Иные нормативные документы
ГОСТы

18
Иные нормативные документы
ГОСТы

Отраслевые
стандарты

19
Иные нормативные документы
ГОСТы

Отраслевые
стандарты

РД

20
Иные нормативные документы
ГОСТы

Отраслевые
стандарты

РД Локальные НПА

21
Иные нормативные документы
ГОСТы

Отраслевые
М\Р НПА
стандарты

РД Локальные НПА

22
Иные нормативные документы
ГОСТы Регламенты

Отраслевые
М\Р НПА
стандарты

РД Локальные НПА

23
Иные нормативные документы
ГОСТы Регламенты

Отраслевые
М\Р НПА
стандарты

Их там 250+
РД Локальные НПА

24
Немного теории...
Информация – сведения независимо от формы их представления

25
Немного теории...
Информация – сведения независимо от формы их представления
Информация обладает рядом свойств, к которым в общем случае относятся:
актуальность, достоверность, целостность, конфиденциальность и доступность и т.д.

26
Немного теории...
Информация – сведения независимо от формы их представления
Информация обладает рядом свойств, к которым в общем случае относятся:
актуальность, достоверность, целостность, конфиденциальность и доступность и т.д.
Под информационной безопасностью мы будем понимать
состояние защищённости информации, при котором обеспечиваются её:
конфиденциальность, целостность и доступность

27
Немного теории...
Информация – сведения независимо от формы их представления
Информация обладает рядом свойств, к которым в общем случае относятся:
актуальность, достоверность, целостность, конфиденциальность и доступность и т.д.
Под информационной безопасностью мы будем понимать
состояние защищённости информации, при котором обеспечиваются её:
конфиденциальность, целостность и доступность

Деятельность, направленная на обеспечение заданного уровня безопасности


информации – мы будем называть защитой информации!

28
Немного теории...
Информация – сведения независимо от формы их представления
Информация обладает рядом свойств, к которым в общем случае относятся:
актуальность, достоверность, целостность, конфиденциальность и доступность и т.д.
Под информационной безопасностью мы будем понимать
состояние защищённости информации, при котором обеспечиваются её:
конфиденциальность, целостность и доступность

Деятельность, направленная на обеспечение заданного уровня безопасности


информации – мы будем называть защитой информации!

Персональные данные - любая информация, относящаяся прямо или


косвенно к определенному или определяемому физическому лицу (субъекту
персональных данных)

29
Основные понятия, связанные с ПДн
Оператор ПДн - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными

30
Основные понятия, связанные с ПДн
Оператор ПДн - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными

Обработка персональных данных - любое действие (операция) или совокупность


действий (операций), совершаемых с использованием средств автоматизации или
без использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных

31
Основные понятия, связанные с ПДн

Обезличивание персональных данных - действия, в результате которых становится


невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных

32
Основные понятия, связанные с ПДн

Обезличивание персональных данных - действия, в результате которых становится


невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных

Информационная система персональных данных - совокупность содержащихся в


базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств

33
Основные понятия, связанные с ПДн

Обезличивание персональных данных - действия, в результате которых становится


невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных

Информационная система персональных данных - совокупность содержащихся в


базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств

Трансграничная передача персональных данных - передача персональных данных на


территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу

34
Основные понятия, связанные с ПДн

Обезличивание персональных данных - действия, в результате которых становится


невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных

Информационная система персональных данных - совокупность содержащихся в


базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств

Трансграничная передача персональных данных - передача персональных данных на


территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных - действия, в результате которых становится


невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных

35
Общие положения
по обработке персональных данных

36
Принципы обработки ПДн

Законность

37
Принципы обработки ПДн

Законность

Целесообразность

38
Принципы обработки ПДн

Законность

Целесообразность

Достаточность

39
Принципы обработки ПДн

Законность Актуальность

Целесообразность

Достаточность

40
Принципы обработки ПДн

Законность Актуальность

Целесообразность Непротиворечивость

Достаточность

41
Принципы обработки ПДн

Законность Актуальность

Целесообразность Непротиворечивость

Достаточность Конфиденциальность

42
Принципы обработки ПДн

Законность Актуальность

Целесообразность Безопасность Непротиворечивость

Достаточность Конфиденциальность

43
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

44
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

Осуществление законной деятельности и выполнение функций операторами ПДн,


возложенных на них международным договором или соответствующими законами РФ

45
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

Осуществление законной деятельности и выполнение функций операторами ПДн,


возложенных на них международным договором или соответствующими законами РФ

В связи с участием субъекта ПДн в конституционном, гражданском, административном,


уголовном судопроизводстве, судопроизводстве в арбитражных судах

46
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

Осуществление законной деятельности и выполнение функций операторами ПДн,


возложенных на них международным договором или соответствующими законами РФ

В связи с участием субъекта ПДн в конституционном, гражданском, административном,


уголовном судопроизводстве, судопроизводстве в арбитражных судах

Предоставление государственных и муниципальных услуг в электронном виде (210 - ФЗ)

47
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

Осуществление законной деятельности и выполнение функций операторами ПДн,


возложенных на них международным договором или соответствующими законами РФ

В связи с участием субъекта ПДн в конституционном, гражданском, административном,


уголовном судопроизводстве, судопроизводстве в арбитражных судах

Предоставление государственных и муниципальных услуг в электронном виде (210 - ФЗ)

В рамках договорных отношений стороной которого либо выгодоприобретателем или


поручителем по которому является субъект персональных данных

48
Условия обработки ПДн
Обработка персональных данных допускается в следующих случаях:

Добровольное согласие субъекта ПДн

Осуществление законной деятельности и выполнение функций операторами ПДн,


возложенных на них международным договором или соответствующими законами РФ

В связи с участием субъекта ПДн в конституционном, гражданском, административном,


уголовном судопроизводстве, судопроизводстве в арбитражных судах

Предоставление государственных и муниципальных услуг в электронном виде (210 - ФЗ)

В рамках договорных отношений стороной которого либо выгодоприобретателем или


поручителем по которому является субъект персональных данных
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта
персональных

49
Согласие на обработку ПДн
Дается в любой подтверждаемой
форме

Может быть отозвано

Доказательство наличия согласия –


Согласие на обработку ПДн
проблема оператора!

Может быть подписано ЭП

Может быть дано представителем

50
Согласие на обработку ПДн
ФИО, адрес, сведения о документе,
удостоверяющем личность

Сведения об операторе: адрес,


наименование или ФИО

Цели обработки ПДн


Согласие на обработку ПДн
Перечень ПДн

Перечень действий с ПДн и описание


способов обработки

Срок действия и способ отзыва

Подпись субъекта ПДн

51
Специальные категории ПДн

Расовая принадлежность

Национальная принадлежность

Политические взгляды
Обработка этих ПДн допускается
Религиозные убеждения ТОЛЬКО в исключительных случаях!!!

Состояние здоровья

Интимная жизнь

Философские взгляды

52
Специальные категории ПДн

Основания для обработки

Добровольное согласие Для осуществления правосудия

Если субъект ПДн сделал их Для противодействия терроризму,


общедоступными коррупции

Для защиты жизни, здоровья и При осуществлении страховых


жизненно важных интересов операций

В целях устройства детей, оставшихся


Медицинских целях
без попечения родителей

Религиозными организациями при В соответствии с законом о


наличии согласия гражданстве РФ

53
Биометрические ПДн
Сведения, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность (биометрические
персональные данные) и которые используются оператором для установления
личности субъекта персональных данных

54
Права
субъекта персональных данных

55
Право на доступ к своим ПДн

Доступ, уточнение
блокирование, уничтожение ПДн

Должны быть предоставлены в


доступной форме

Сведения предоставляются
ТОЛЬКО на основании запроса

Срок на выполнение законных


требований 30 дней

После 30 дней может быть


направлен повторный запрос Субъект ПДн

56
Право на доступ к своим ПДн

Сроки обработки ПДн, в том


Подтверждение факта обработки
числе сроки их хранения

Правовые основания и цели Порядок осуществления прав


обработки субъектов ПДн

Цели и применяемые Информация Сведения о том, кому была


оператором способы обработки о ПДн поручена обработка
Наименование и место Информацию об
нахождения оператора, включая осуществленной или о
сведения о лицах, имеющих предполагаемой
доступ к ПДн трансграничной передаче
Обрабатываемые персональные
Иные сведения
данные

57
Иные права субъектов ПДн
Реклама и агитация

Запрет принятия решений на


основе исключительно
автоматизированной обработке

Обжалование действия
оператора

Возмещение убытков

58
Обязанности оператора

59
Обязанности оператора при сборе ПДн
Разъяснять последствия отказа Предоставлять информацию по
предоставления ПДн запросу субъектов ПДн

Обрабатывать и хранить ПДн на Доводить информацию до


территории РФ субъектов ПДн об обработке

60
Обязанности оператора при сборе ПДн
Разъяснять последствия отказа Предоставлять информацию по
предоставления ПДн запросу субъектов ПДн

Обрабатывать и хранить ПДн на Доводить информацию до


территории РФ субъектов ПДн об обработке

Статистические или иные


Если субъект уже уведомлен
исследования, без нарушения
должным образом
прав и законных интересов
Общедоступные
Если предоставление
Если ПДн получены на
информации нарушает права и
основании закона или договора
законные интересы третьих лиц

61
Обязанности оператора при обработке ПДн
Назначить ответственного за
организацию обработки ПДн
Издать соответствующий пакет
Обеспечить орг. и тех. меры по документов по вопросам ПДн
обеспечению ИБ
Осуществлять внутренний контроль и
Проводить обучение сотрудников по аудит мер по обеспечению ИБ
вопросам защиты и обработки ПДн
Проводить ознакомление сотрудников с
Оценивать возможный вред субъектам законодательством РФ по защите ПДн
ПДн
Публиковать в открытом доступе
Публиковать в открытом доступе политику обработки ПДн
сведения о мерах по защите ПДн
Предоставлять информацию по запросу
уполномоченных органов

62
Обязанности оператора при обращении
субъектов ПДн

Предоставить информацию по запросу


субъекта ПДн или его представителя
Уведомлять субъекта ПДн о результатах
Дать письменный мотивированный рассмотрения его запросов
отказ
Осуществлять рассмотрение запросов в
Осуществлять все законные требования течении 30 дней
безвозмездно
Уничтожить в течении 7 рабочих дней
Устранить неточности и ошибки ПДн в незаконно полученные ПДн
течении 7 рабочих дней

63
Обязанности оператора по устранению
нарушений законодательства в области ПДн
Осуществлять блокирование Уничтожить ПДн по запросу субъекта
неправомерно обрабатываемых данных ПДн (30 дней)

Уничтожить ПДн по достижению цели


обработки (30 дней)

Блокировать ПДн при невозможности


их оперативного уничтожения
(до 6 месяцев)

Прекратить неправомерную обработку Осуществлять уточнение персональных


в течении 3 рабочих дней данных

64
Защита персональных данных

65
Для защиты ПДн, оператор обязан

Определить актуальные угрозы


Разграничивать доступ к ПДн
безопасности ПДн при их обработке

Применить организационные и Восстанавливать ПДн,


технические меры по обеспечению ИБ модифицированные или уничтоженные

Использовать только Вести регистрацию и учет всех действия


сертифицированные средства защиты в ИСПДн

Осуществлять оценку эффективности Осуществлять контроль за


применяемых мер применяемыми мерами защиты ПДн

Вести учет машинных носителей ПДн

66
Последовательность работ по защите ПДн
Определение угроз безопасности
Классификация ИСПДн
персональных данных

Разработка проектных-технических
Формирование требований с СЗИ
решений по СЗИ ИСПДн

Разработка проектных-технических Разработка технической и рабочей


решений по СЗИ ИСПДн документации

Ввод в действие СЗИ ИСПДн Закупка средств защиты информации

Дальнейшее развитие и эксплуатация


Аттестация ИСПДн
ИСПДн

67
Основные документы по защите ПДн

«О персональных данных» Федеральный закон, регулирующий отношения,


№152 - ФЗ связанные с обработкой персональных данных в РФ

Определение требований к защите персональных


Постановление правительства
данных при их обработке в информационных
№1119
системах персональных данных

Постановление правительства Особенности обработки ПДн без использования


№687 средств автоматизации

Меры по обеспечению обязанностей операторов ПДн,


Постановление правительства
являющихся государственными и муниципальными
№211
органами
Меры по обеспечению безопасности ПДн при их
21 приказ ФСТЭК России
обработке в ИСПДн

68
Контроль и надзор

69
Уполномоченный орган по защите прав субъектов ПДн
Уполномоченным органом по защите прав субъектов персональных данных является
федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору
за соответствием обработки персональных данных требованиям законодательства Российской
Федерации в области персональных данных - РОСКОМНАДЗОР

Контроль и надзор за Привлекать к Принимать меры, в


соблюдением административной случае нарушений
требований ответственности правил обработки ПДн

Отправлять запрос о Вносить предложения


приостановке по изменению
Роскомнадзор
лицензируемой действующего
деятельности законодательства

Ходатайствовать о Обращаться в суд в


Рассматривает
возбуждении защиту прав и свобод
обращения граждан
уголовных дел субъектов ПДн

70
Виды ответственности за нарушение ИБ при
обработке ПДн
Крупные штрафы, исправительные работы, арест и лишение
Уголовная
свободы

Административная Предупреждения и штрафы

Гражданско-
Возмещение убытков и компенсация морального вреда
правовая

Дисциплинарная Замечание, выговор или увольнение

71
Спасибо!